[SOLVED] 14.04 szyfrowanie calego dysku przy niestandardowym partycjonowaniu

[goralss]

Witam,

Potrzebuję pomocy związanej z szyfrowaniem dysku pod ubuntu 14.04 trusty tahr.

Chicałbym zrobić coś takiego:
1. Czysta instalacja od zera 14.04 jako jedynego systemu na laptopie, żadnego dual boot, lapek jest starszy bez UEFI, procek i3, 4 rdzenie, 64 bit przy 4GB pamięci z możliwością rozbudowy więc szyfrowanie nie powinno spowolnić znacznie systemu, mam szyfrowanie (ale tyko part home) na podobnej konfiguracji i nie sprawia to problemów,

2. Dysk podzielony na
/boot (2GB) --- jako fizyczna partycja (nie logiczna) nie szyfrowana,
/ (czyli root) 40GB --- jako fizyczna partycja (nie logiczna), szyfrowana dyskowo
/home reszta dysku --- jako fizyczna partycja (nie logiczna) szyfrowana dyskowo i plikowo
to są 3 fizyczne także zostaje mi jeszcze ewentualnie jedna w zapasie
bez oddzielnej partycji swap, rezygnuję ze swap całkowicie,

3. Szyfrowanie całego dysku najlepiej od razu przy instalacji tym co daje linuks - wg opisu instalacji 14.04 jest taka mozliwość,
tylko czy
a) szyfruje to caly dysk czyli root i home czy tylko home jak bylo w 12.04,
b) czy to jest szyfrowanie dyskowe czy plikowe?
c) czy mogę na to szyfrowanie "nałożyć" w trakcie procesu instalacji szyfrowanie plikowe np. ecryptfs?
Chodzi mi o to żeby przy szyfrowaniu partycji home nie było czyszczenia i formatowania tej partycji, tylko żebym miał równocześnie 2 warstwy szyfrowania - dyskowe i plikowe.

Zależy mi na tym żeby to wszystko było zrobione przy użyciu narzędzi dostarczonych razem z systemem, nie chcę do tego korzystać z zewnętrznych programów choć są ok i bardzo je sobie cenię (np TC) ale jednak przy stawianiu LTS na lata wolę korzystać z czegoś co mam w systemie.

Wg przewodnika po instalacji 14.04 jak chce spartycjonowac dysk inaczej niz standardowo to muszę wybrać przy rodzaju instalacji użycie "innego rozwiązania", które uruchamia Gparted,

czy jeśli pojdę tą ścieżką i zrobię partycje jak powyżej w G parted to czy po zakończeniu partycjonowania pojawi się znów możliwość szyfrowania całego dysku (czyli wszystkich partycji jakie stworzyłem i jeśli tak to co z partycją boot która powinna być nie szyfrowana) czy też jak korzystam z tej opcji samodzielnego partycjonowania to proces instalacji idzie dalej i dostaję partycje nieszyfrowane, które muszę sobie szyfrować zewnętrznymi programami już po zakończeniu procesu instalacji?

Bardzo proszę o info czy taki układ jaki chciałbym zrobić jest możliwy do realizacji i jak można tego dokonać.
Nie jestem zaawansowanym linuksiarzem, początkujący z pewną nabytą wiedzą praktycznę dlatego proszę o możliwie proste rozwiązania ludzkim językiem

Pozdrawiam

[infort]

To, czego oczekujesz jest niemożliwe do wykonania w standardowym instalatorze Ubuntu.
Jeśli zaznaczysz szyfrowanie standardowej instalacji, nie będziesz miał mozliwości utworzenia osobnej partycji /home.
Po wybraniu opcji Innego rozwiązania (manualne partycjonowanie) można ustawić kilka partycji i wybrać dla nich opcję szyfrowania tyle, że podczas startu będzie trzeba podać hasło dla każdej z nich nawet jeśli jest takie samo.
Jedyną praktyczną metodą jest zaszyfrowanie jednej partycji obejmującej cały dysk (poza /boot) i ustawienie na niej woluminów LVM, które przyporządkujemy do poszczególnych partycji wirtualnych. Niestety Ubiquity (instalator Ubuntu), GParted ani żadne narzędzie graficzne w systemie tego nie obsługuje. Bez problemu radzi sobie z tym tekstowy instalator dawnej płytki Alternate, która od 13.04 nie jest już wydawana. Pozostaje więc albo instalacja Ubuntu Server i doinstalowanie sobie Xów i Unity, albo MinimalCD i to samo. Jest też trzecia mozliwość - zainstalowanie standardowe Ubuntu na jednej partycji i potem za pomocą odpowiednich narzędzi ustawienie na niej LVM i podzielenie na woluminy. Niestety to wymaga sporej wiedzy i cierpliwości. Na domiar złego nie istnieją, przynajmniej ja nie znalazłem żadne tutoriale na ten temat.
Inna metoda - użycie płytki Alternate z Ubuntu 12.04 i potem bezpośrednia aktualizacja do 14.04.

Dodatkowe szyfrowanie /home (przez encryptfs) nie ma żadnego wływu na szyfrowanie LUKSem systemu (cryptsetup) i na odwrót, tak więc można stosować oba rozwiązania na raz (tylko po co?).

[goralss]

Dziękuję za rozjaśnienie tej sprawy, oszczędziło mi to masy czasu na próbowanie rozwiązań, które są poza moim zasięgiem, nie ten poziom wiedzy żeby grzebać w terminalu i ręcznym ustawianiu LVM

próbowałem instalacji z pełnym szyfrowaniem i tak jak piszesz przy wyborze opcji pełnego szyfrowania jest jedna partycja, można jedynie wybrać jako opcję dodatkową szyfrowanie samego folderu home,
w takiej takiej sytuacji folder home ma podwójne szyfrowanie czyli Luks (dyskowe) i encryptfs (plikowe) - znalazłem folder ukryty folder .ecryptfs a w nim szyfrowanie mojego folderu home, jest ok,

co prawda jest opcja przy instalacji że można zainstalować manager LVM (co zaznaczyłem) ale jak pisałem nie mam na tyle wiedzy żeby skorzystać z tej opcji,

przy pierwszym uruchomieniu system pytał czy chcę podłączyć partycję swapo dałem skip i przy kolejnych już o to nie pytał, partycja swap nie jest też widoczna pod poglądem partycji dysku a monitorze systemu swap jest niedostępny więc wnioskuję, że jej po prostu nie nie ma, co jest ok bo part swap z defaultu w poprzednich wersjach była nieszyfrowana,
czy mam rozumieć, że przy pełnym szyfrowaniu jestem całkowicie pozbawiony swapu? nie jest to żaden problem, chciałbym mieć tylko pewność jak to wygląda czy w braku partycji swap nie jest tworzony jakiś plik swap i czy jest on na zaszyfrowanej partycji (partycja boot tworzona automatycznie przez system jest malutka 255MB więc na niej nie ma miejsca na swap)

nie wiem czy to nie będzie potraktowane jako offtopic - partycja boot nieszyfrowana przy instalacji z szyfrowaniem ma tylko 255MB, czy to nie za mało? na 12.04 moja partycja boot ma 1GB i już teraz jest na niej 750mb (kolejne updaty jądra), co się stanie jak ta partycja się "zapcha" po kolejnych updatach?

Mam jeszcze pytanie co do tego co napisałeś:
"Po wybraniu opcji Innego rozwiązania (manualne partycjonowanie) można ustawić kilka partycji i wybrać dla nich opcję szyfrowania tyle, że podczas startu będzie trzeba podać hasło dla każdej z nich nawet jeśli jest takie samo. "

Jak instalowałem tą ścieżką, czyli "inne rozwiązanie" to po utworzeniu 3 partycji to od razu wrzucilo mnie do ustawienia daty i potem mogłem wybrać tylko opcję szyfrowania folderu home ( w tym wypadku partycji home ponieważ stworzyłem partycję home z punktem montowania /home) ale nie miałem możliwości wyboru żadnej innej partycji do szyfrowania,
Nie jest dla mnie problemem wpisywanie hasła dla / (root) i dla /home tylko, że nie bardzo widzę w którym momencie w procesie instalacji jest taka opcja wyboru partycji do szyfrowania

[infort]

1. Partycja /boot rzeczywiście jest mała, ja standardowo daję 512k. Trzeba po prostu dbać o to, aby usuwać przestarzałe jądra. Bo jesli zapcha się /boot podczas wgrywania nowego jądra będą kłopoty z aptem. Wtedy pozstaje ręczne usunięcie zbędnych plików.

2. Swap zawsze można utworzyć w pliku i tworzony on jest wtedy na partycji / (root). Oczywiście w takim przypadku będzie on zaszyfrowany.

3. Podczas ręcznego tworzenia partycji postępujemy nastepująco:
- wyczyszczenie dysku (usunięcie istniejących partycji)
- tworzymy partycję podstawową i montujemy ją w /boot
- tworzymy kolejną partycję podstawową i podczas tworzenia w polu Użyj jako wybieramy opcję "fizyczny wolumin do szyfrowania" i podajemy hasło do partycji
- automatycznie powinna nam utworzyć się partycja /dev/mapper/.... którą zaznaczamy i przyciskiem Change zmieniamy punkt montowania na / (root)
- następnie w podobny sposób tworzymy nową partycję, wybieramy "fizyczny wolumin do szyfrowania" podajemy hasło i czekamy na utworzenie kolejnej /dev/mapper/... którą przyciskiem Change ustawiamy na /home
itd aż do wyczerpania powierzchni dysku i w zależności od potrzeb.

Niestety jeśli ustawimy tak 6 partycji, jak to jest u mnie, trzeba będzie 6 razy wpisywać hasło przy rozruchu. LUKS pozwala na 8 slotów z kluczem do każdej partycji, więc teoretycznie można by utworzyć łańcuszek, gdzie poza / (root) każda wykorzystuje dwa sloty - jeden na swoje hasło, a drugi na klucz plikowy, który jest zapisany na poprzedniej szyfrowanej partycji. To by pozwoliło podać hasło tylko do pierwszej i każda następna korzystałaby z klucza zamiast hasła i po kolei by się odblokowywały. Ale to tylko teoria, nigdy nie widziałem tego w praktyce a z szyfrowaniem mam do czynienia od lat. Dlatego lepiej jest utworzyć jeden zaszyfrowany LVM z woluminami.

[piotrek_ra]

Hej

Najbezpieczniej będzie zrobić kopie zapasową danych na zewnętrzny dysk usb. Następnie bezstresowo można wymazać dysk w kompie i zrobić normalną instalację z włączonym szyfrowaniem dyskowym ( i w razie potrzeby także katalogów domowych )

/boot faktycznie robi się za mała. Problem ponoć znany, ale jakoś chyba nie ma oficjalnego, pewnego i wygodnego rozwiązania, choć jakieś poczynania w /etc/apt.d widać.

[goralss]

@infort,
Pięknie dziękuję, Twoje rozwiązanie daje mi praktycznie dokładnie to czego chciałem, a to że muszę 2 razy wklepać hasło przy starcie raz do zaszyfrowanej partycji na której mam katalog root (/) i drugi raz do partycji na której montuję home (/home) jest całkowicie akceptowalne,
mam nieszyfrowaną partycję z Bootem na 2gb i nie muszę się martwić o zapchanie, mam szyfrowaną dyskowo partycję z rootem, oddzielną szyfrowaną dyskowo partycję z home, która jeszcze dodatkowo jest szyfrowana plikowo w ecryptsf.
Jak na razie wszystko działa i jest dokładnie tak jak jak chciałem.
Problem rozwiązany
Pozdrawiam

@piotrek_ra
jak najbardziej , bez kopii danych nawet bym nie pomyślał o wprowadzaniu w zycie takich kombinacji,